プライベート サービス アクセスの設定

プライベート サービス アクセスは、Virtual Private Cloud(VPC)ネットワークと VMware Engine のネットワーク間のプライベート接続です。このページでは、Google Cloud VMware Engine へのプライベート サービス アクセスを設定し、VPC ネットワークをプライベート クラウドに接続する方法について説明します。

プライベート サービス アクセスにより、次のことが可能になります。

  • VPC ネットワーク内の仮想マシン(VM)インスタンスと VMware VM の内部 IP アドレスによる排他的通信。VM インスタンスは、インターネット アクセスまたは外部 IP アドレスがなくても、プライベート サービス アクセスを介してサービスにアクセスできます。
  • VMware VM と、内部 IP アドレスを使用したプライベート サービス アクセスをサポートする Google Cloud のサポート サービスの間の通信。
  • Cloud VPN または Cloud Interconnect を使用して VPC ネットワークに接続しているオンプレミス接続がある場合、既存のオンプレミス接続を使用して VMware Engine プライベート クラウドに接続します。

プライベート サービス アクセスは、VMware Engine のプライベート クラウドの作成とは別に設定できます。プライベート接続は、VPC ネットワークを接続するプライベート クラウドの作成前か作成後に作れます。

特定のリージョンでは、プライベート サービス アクセスを使用して、VMware Engine から VPC ネットワークへの一意のルートを最大で 100 まで設定できます。これには、プライベート クラウド管理アドレス、NSX-T ワークロード セグメント、HCX ネットワーク アドレスなどがあります。

始める前に

  1. VMware Engine に接続するときに使用する既存の VPC ネットワークが必要です。
  2. Cloud VPN に基づくオンプレミス接続がある場合は、Cloud VPN セッションに接続されている VPC ネットワークを選択します。Cloud Interconnect に基づくオンプレミス接続がある場合は、Cloud Interconnect VLAN アタッチメントが終端される VPC ネットワークを選択します。
  3. プロジェクトで Service Networking API を有効にします
  4. プロジェクト オーナーと Compute ネットワーク管理者のロールroles/compute.networkAdmin)を持つ IAM メンバーが、割り振られた IP 範囲を作成し、プライベート接続を管理できます。
  5. プライベート サービス接続用のアドレス範囲と、プライベート クラウド管理とワークロードのネットワーク セグメントを割り振る必要があります。これにより、VPC ネットワーク サブネットの間で IP アドレスの競合が発生せず、VMware Engine で使用する IP アドレスが確保されます。

マルチ VPC 接続

VMware Engine を使用すると、Google Cloud にデプロイされている既存の VPC アーキテクチャを変更することなく、異なる VPC ネットワークから同じプライベート クラウドにアクセスできます。たとえば、マルチ VPC 接続は、テストと開発用に個別の VPC ネットワークがある場合に便利です。この状況では、VPC ネットワークは、VMware VM または別々の vSphere リソース グループの他の宛先アドレスと、同じプライベート クラウドまたは複数のプライベート クラウドにわたって通信する必要があります。

デフォルトでは、リージョンごとに 3 つの VPC ネットワークをピアリングできます。この上限には、インターネット アクセスとパブリック IP サービスで使用される VPC ピアリングが含まれます。上限を引き上げる場合は、Cloud カスタマーケアまでお問い合わせください

共有 VPC

共有 VPC を使用する場合は、ホスト プロジェクトで割り振られた IP 範囲とプライベート接続を作成します。通常、ホスト プロジェクトのネットワーク管理者がこれらの作業を行う必要があります。サービス プロジェクトの VM インスタンスでは、ホスト プロジェクトの設定後にプライベート接続を使用できます。

プライベート接続の作成

  1. プライベート サービス アクセスの構成の説明に従って、Google Cloud サービス プロデューサー間で共有される VPC ネットワークにアドレス範囲を割り振ります。
  2. プライベート接続の作成の手順を行います。
  3. プライベート接続が正常に作成されると、VPC ネットワークのプライベート サービス接続テーブルに servicenetworking-googleapis-com という名前の接続がリストされます。
  4. servicenetworking-googleapis-com プライベート接続でカスタムルートのインポートとエクスポートを有効にします。詳細については、ピアリング接続の更新をご覧ください。

VMware Engine ポータルでプライベート接続の作成を完了する

  1. Google Cloud Console で、[VPC ネットワーク] > [VPC ネットワーク ピアリング] に移動します。servicenetworking-googleapis-com という名前の VPC ネットワーク ピアリング接続がピアリング テーブルに表示されます。
  2. ピアリングされたプロジェクト ID をコピーして、VMware Engine ポータルでプライベート接続を設定するときに使用できるようにします。
  3. VMware Engine ポータルにアクセスします
  4. [Network] > [Private connection] に移動します。
  5. [Add Private Connection] をクリックします。
  6. [Peer Project ID] フィールドと [Peer Project Number] フィールドに、ピアリングする VPC ネットワークを含む Google Cloud プロジェクトのプロジェクト ID と番号を入力します。これらの値を取得する方法については、プロジェクトの識別をご覧ください。
  7. [Peer VPC ID] フィールドに、ピアリング先の VPC ネットワークの名前を入力します。VPC ネットワークの ID を取得する方法については、ネットワークの表示をご覧ください。
  8. [Tenant project ID] フィールドに、手順 2 でコピーしたピアリングしたプロジェクト ID の値を貼り付けます。
  9. 接続先の VMware Engine リージョンを選択します。
  10. この VPC ネットワーク ピアリング接続のルーティング モードを選択します。ほとんどの場合、グローバル ルーティング モードを選択することをおすすめします。VPC ネットワークとピアリングしている Google サービスがリージョン間で通信しないようにする場合は、リージョン ルーティング モードを選択します。これにより、既存のルーティング モードがオーバーライドされます。
  11. [Submit] をクリックします。

[Region status] が [Connected] の場合、対応するリージョンのプライベート接続を選択できます。[Private connection details] ページには、プライベート接続のルーティング モードと VPC ピアリングで学習されたルートが表示されます。

[Exported routes] には、リージョンから学習し、VPC ピアリング経由でエクスポートされるプライベート クラウドが表示されます。複数の VPC ネットワークが同じ VMware Engine リージョン ネットワークにピアリングされている場合、一方の VPC ネットワークから受信したルートが他の VPC ネットワークにアドバタイズされません。

プライベート サービス アクセスの削除

プライベート接続を削除するには、まず VMware Engine ポータルでプライベート接続を削除します。

  1. Google Cloud Console で、[VPC ネットワーク] > [VPC ネットワーク ピアリング] に移動します。servicenetworking-googleapis-com という名前の VPC ネットワーク ピアリング接続がピアリング テーブルに表示されます。
  2. ピアリングされたプロジェクト ID をメモします。
  3. VMware Engine ポータルで、[Network] > [Private connection] に移動します。
  4. ステップ 2 でメモしたピアリング プロジェクト ID と一致するテナント プロジェクトを含むプライベート接続を見つけて削除します。

削除したプライベート接続がプライベート接続のリストに表示されなくなったら、Google Cloud Console でプライベート接続を削除できます。この手順を順不同で行うと、両方の Cloud プロジェクトで DNS エントリが古くなることがあります。